2

所以我一直在学习挂钩和使用蹦床的概念,以便绕过/执行 WinAPI 挂钩函数中的数据(在不同的可执行文件中,使用 DLL 注入)。到目前为止,我知道如何使用汇编和 C 的混合物来制作它(蹦床和钩子),但我似乎无法仅使用 C 来做到这一点,因为我似乎遗漏了一些东西。如果有人能告诉我我做错了什么以及如何解决它,我将不胜感激。

现在我的代码:

#include <Windows.h>

unsigned char* address = 0;

__declspec(naked) int __stdcall MessageBoxAHookTrampoline(HWND Window, char* Message, char* Title, int Type) {
    __asm
    {
        push ebp
        mov ebp, esp
        mov eax, address
        add eax, 5
        jmp eax
    }
}

int __stdcall MessageBoxAHook(HWND Window, char* Message, char* Title, int Type) {
    wchar_t* WMessage = L"Hooked!";
    wchar_t* WTitle = L"Success!";
    MessageBoxW(0, WMessage, WTitle, 0);
    return MessageBoxAHookTrampoline(Window, Message, Title, Type);
}

unsigned long __stdcall Thread(void* Context) {
    address = (unsigned char*)GetProcAddress(LoadLibraryA("user32"), "MessageBoxA");
    ULONG OP = 0;
    if (VirtualProtect(address, 1, PAGE_EXECUTE_READWRITE, &OP)) {
        memset(address, 0x90, 5);
        *address = 0xE9;
        *(unsigned long*)(address + 1) = (unsigned long)MessageBoxAHook - (unsigned long)address - 5;
    }
    else {
        MessageBoxA(0, "Failed to change protection", "RIP", 0);
    }
    return 1;
}

// Entry point.
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
    if (fdwReason == DLL_PROCESS_ATTACH) {
        CreateThread(0, 0, Thread, 0, 0, 0);
    }
    else if (fdwReason == DLL_PROCESS_DETACH) {

    }
    return true;
}

所以问题是:我如何让一个函数说InstallHook将安装钩子并返回一个蹦床,以便我可以轻松使用它?函数原型可能是:void* InstallHook(void* originalFunc, void* targetFunc, int jumpsize),或者我在网上阅读时理解的,但不确定jumpsize将用于什么。

到目前为止我知道前5个字节必须保留和恢复,然后跳转到原始钩子函数的地址。所以我必须使用 malloc 来分配内存,memcpy 来复制字节,这0xE9是跳转指令的值等等,但我只是不知道如何使用纯 C 来实现它。我认为它会是类似于这个问题中的代码。那么如何使用纯 C 为 WinAPI 函数编写一个返回蹦床的钩子函数呢?

4

1 回答 1

4

如果我正确理解了这个问题,您希望避免在汇编中“硬编码”蹦床功能,大概是这样您就可以同时使用多个蹦床而无需复制代码。您可以使用VirtualAlloc(malloc不会工作,因为返回的内存将不可执行) 来实现这一点。

我在没有访问编译器的情况下从内存中编写了这个,所以它可能有一些小错误,但总体思路就在这里。通常,您还可以使用VirtualProtect将页面权限更改为,r-x而不是rwx在完成修改后,但为了简单起见,我将其省略了:

void *CreateTrampoline(void *originalFunc)
{
    /* Allocate the trampoline function */
    uint8_t *trampoline = VirtualAlloc(
        NULL,
        5 + 5, /* 5 for the prologue, 5 for the JMP */
        MEM_COMMIT | MEM_RESERVE,
        PAGE_EXECUTE_READWRITE); /* Make trampoline executable */

    /* Copy the original function's prologue */
    memcpy(trampoline, originalFunc, 5);

    /* JMP rel/32 opcode */
    trampoline[5] = 0xE9;

    /* JMP rel/32 operand */
    uint32_t jmpDest = (uint32_t)originalFunc + 5; /* Skip original prologue */
    uint32_t jmpSrc = (uint32_t)trampoline + 10; /* Starting after the JMP */
    uint32_t delta = jmpDest - jmpSrc;
    memcpy(trampoline + 6, &delta, 4);

    return trampoline;
}

然后,您的InstallHook函数将调用CreateTrampoline创建一个蹦床,然后将原始函数的前 5 个字节用 a 修补JMP rel/32到您的钩子中。

请注意,这仅适用于 WinAPI 函数,因为 Microsoft 要求它们具有 5 字节序言以启用热补丁(这就是您在此处所做的)。普通函数没有这个要求——通常它们只以push ebp; mov ebp, esp只有 3 个字节的开头(如果编译器决定优化它,有时甚至没有)。

编辑:这是数学的工作原理:

                          _______________delta______________
                         |                                  |
trampoline               |                  originalFunc    |
    |                    |                        |         |
    v                    |                        v         v
    [prologue][jmp delta]                         [prologue][rest of func]
    |________||_________|                         |________|
         5    +    5                                   5
于 2017-07-12T15:01:15.050 回答